无法验证对路径的访问iis

Ⅰ windows7系统iis测试时出现无法访问该怎么办

权限，这一步骤是必须的，否则在登录 FTP 的时候会出现错误。如下图所示，我们会看到由于权限不足导致无法读取配置文件的错误提示。而无权限读取的文件是位于 inetsrv＼config 下的 redirection.config 文件。经过 gOxiA 的测试发现即使为该文件添加了相应的权限但仍提示登录失败，最终要配置 config 目录权限，赋予 Network Service（FTP7 进程的默认帐户）有读取权限后才能正常登录。
为了简单的演示目录权限的设置过程，gOxiA 参考了 IIS.net 中相关文章的命令行，其中涉及到的 cacls 可以直接运行就可以得到参数帮助。要执行的命令行如下：
cacls c:＼Windows＼system32＼inetsrv＼config /G "Network Service":R /E
配置了 config 目录权限后，请确保 “Network Service”对该目录下的 administration.config 和 redirection.config 文件有读取权限，否则请执行如下命令行：
cacls c:＼Windows＼system32＼inetsrv＼config＼administration.config /G "Network Service":R /E
cacls c:＼Windows＼system32＼inetsrv＼config＼redirection.config /G "Network Service":R /E

之后创建一个 FTP 的默认目录，注意请添加“Network Service”有完全控制的权限。
下面，我们开始配置 IIS7，创建一个 FTP 站点，为其启用 IisManagerAuth，并创建一个 IIS管理凭据的帐户，使其具备 FTP 相应的访问权限。
在开始之前请确认已经安装了 IIS7 的 管理服务组件，否则请进入服务器管理，单击添加角色服务，选中 IIS7 的管理服务组件，进行安装。

默认可以使用 C:＼Inetpub＼FTProot 作为 FTP 主目录，当然也可以根据自己的需要创建或选择一个目录，但是需要注意，请赋予“Network Service”有完全控制权限。
下来我们配置 IIS7 启用 IIS管理器凭据，在启用之后才能使用 IisManagerAuth。为此，打开 IIS管理器，双击“管理服务”，选中“Windows 凭据或 IIS 管理器凭据”，最后单击右边操作列表下的“应用”。

之后使用“IIS管理器用户”创建一个 IIS 所管理的用户帐号。为此，双击“IIS 管理器用户”，单击“添加用户”，在弹出的窗体中输入用户名和密码。

上述操作一旦完成，就可以开始创建一个 FTP 站点，首先选中 IIS

管理器左边的导航窗体中的“网站”，之后单击鼠标右键，左键单击“添加 FTP 站点…”。

“站点信息”中输入 FTP 站点名称，如：Default FTP Site。并选择默认的内容目录，本例中 gOxiA 使用的是 C:＼inetpub＼FTProot，单击“下一步”。

在“绑定和 SSL 设置”中，根据需要启用虚拟主机名，注意：FTP“虚拟主机名”可能不被一些客户端所支持。此外请将 SSL 默认的配置“需要”更改为“允许”，否则如果不配置 SSL 证书并使用 SSL FTP 登录方式将导致客户端连接失败。

在 “身份验证和授权信息”配置中，更具需要选择身份验证方式，并指定一个用户和权限。如果你只允许 IIS管理器用户能够访问该 FTP 站点，那么这一步可以不配置，直接单击“完成”。方便大家的学习，本例中允许系统用户中的 Administrator 对该 FTP 有读取和写入的权限。

现在以 Windows 身份验证方式的 FTP 站点已经创建好了，下面我们可以使用 Administrator 来登录 FTP。

经过测试，创建的 FTP 站点已经正常运行，下面我们将要为该 FTP 站点添加之前创建的 IIS管理器用户 — goxia 有相应的访问权限。
首先，选中“Default FTP Site”，在内容窗体中双击“FTP 身份验证”，进入“FTP 身份验证”设置后单击右边操作中的“自定义提供程序…”，在弹出窗体中勾选“IisManagerAuth”。

启用了 IisMangerAuth 后，打开“FTP 授权规则”，添加指定的用户 — goxia，并赋予有相应的访问权限。

最后我们来使用 goxia 这个 IIS 管理器用户登录 FTP 进行测试。

如 果首次登录失败，提示无法验证用户和密码，则需要打开该 FTP 站点的“IIS 管理器权限”设置，添加 goxia 这个帐号。之后测试登录成功后再将其帐号从中删除即可。查找 IIS.net 的相关指引文档，发现默认是要执行这步配置的，但是 gOxiA 认为这一步是配置用户是否具有该 FTP 的远程管理权限的，一旦配置并启用 IIS 的远程管理服务，那么该帐号具备的权限可能会造成安全隐患。目前 gOxiA 也未完全理解。希望有网友指点一二！

Ⅱ IIS权限问题

iis配置问题google一下，这个比较全，你试试1、错误号401.1
症状：HTTP 错误 401.1 - 未经授权：访问由于凭据无效被拒绝。
分析：
由于用户匿名访问使用的账号(默认是IUSR_机器名)被禁用，或者没有权限访问计算机，将造成用户无法访问。
解决方案：
（1）查看IIS管理器中站点安全设置的匿名帐户是否被禁用，如果是，请尝试用以下办法启用：
控制面板->管理工具->计算机管理->本地用户和组，将IUSR_机器名账号启用。如果还没有解决，请继续下一步。
（2）查看本地安全策略中，IIS管理器中站点的默认匿名访问帐号或者其所属的组是否有通过网络访问服务器的权限，如果没有尝试用以下步骤赋予权限：
开始->程序->管理工具->本地安全策略->安全策略->本地策略->用户权限分配，双击“从网络访问此计算机”，添加IIS默认用户或者其所属的组。
注意：一般自定义 IIS默认匿名访问帐号都属于组，为了安全，没有特殊需要，请遵循此规则。2、错误号401.2
症状：HTTP 错误 401.2 - 未经授权：访问由于服务器配置被拒绝。
原因：关闭了匿名身份验证
解决方案：
运行inetmgr，打开站点属性->目录安全性->身份验证和访问控制->选中“启用匿名访问”，输入用户名，或者点击“浏览”选择合法的用户，并两次输入密码后确定。3、错误号：401.3
症状：HTTP 错误 401.3 - 未经授权：访问由于 ACL 对所请求资源的设置被拒绝。
原因：IIS匿名用户一般属于Guests组，而我们一般把存放网站的硬盘的权限只分配给administrators组，这时候按照继承原则，网站文件夹也只有administrators组的成员才能访问，导致IIS匿名用户访问该文件的NTFS权限不足，从而导致页面无法访问。
解决方案：
给IIS匿名用户访问网站文件夹的权限，方法：进入该文件夹的安全选项，添加IIS匿名用户，并赋予相应权限，一般是读、写。
您未被授权查看该页
您不具备使用所提供的凭据查看该目录或页的权限，因为 Web 浏览器正在发送 Web 服务器未配置接受的 WWW-Authenticate 报头字段。请尝试以下操作：如果您认为自己应该能够查看该目录或页面，请与网站管理员联系。
单击刷新按钮，并使用其他凭据重试。
HTTP 错误 401.2 - 未经授权：访问由于服务器配置被拒绝。
Internet 信息服务 (IIS)技术信息（为技术支持人员提供）转到 Microsoft 产品支持服务并搜索包括“HTTP”和“401”的标题。
打开“IIS 帮助”（可在 IIS 管理器 (inetmgr) 中访问），然后搜索标题为“关于安全”、“身份验证”和“关于自定义错误消息”的主题。只要一打开WEB这个目录就不行
换个名子就可以了~！
晕~1
把WEB这个目录删了
你在打还是您未被授权查看该页
换个就可以了/~！IIS特有的问题在IIS中选中这个文件夹点右键－属性－执行许可选“纯脚本”试试iis里你的虚拟目录，属性-〉目录安全性-〉编辑身份验证和访问控制网站属性里把“目录安全”-点“身分验证和访问控制”-“编辑”-去掉“启用匿名访问“钩去了就可以了很多朋友在用IIS6架网站的时候遇到不少问题，而这些问题有些在过去的IIS5里面就遇到过，有些是新出来的，俺忙活了一下午，做了很多次试验，结合以前的排错经验，做出了这个总结，希望能给大家帮上忙：）
问题1：未启用父路径
症状举例：
Server.MapPath() 错误 'ASP 0175 : 80004005'
不允许的 Path 字符
/0709/dqyllhsub/news/OpenDatabase.asp，行 4
在 MapPath 的 Path 参数中不允许字符 '..'。
原因分析：
许多Web页面里要用到诸如../格式的语句（即回到上一层的页面，也就是父路径），而IIS6.0出于安全考虑，这一选项默认是关闭的。
解决方法：
在IIS中属性->主目录->配置->选项中。把”启用父路径“前面打上勾。确认刷新。问题2：ASP的Web扩展配置不当（同样适用于ASP.NET、CGI）
症状举例：
HTTP 错误 404 - 文件或目录未找到。
原因分析：
在IIS6.0中新增了web程序扩展这一选项，你可以在其中对ASP、ASP.NET、CGI、IDC等程序进行允许或禁止，默认情况下ASP等程序是禁止的。
解决方法：
在IIS中的Web服务扩展中选中Active Server Pages，点击“允许”。问题3：身份认证配置不当
症状举例：
HTTP 错误 401.2 - 未经授权：访问由于服务器配置被拒绝。
原因分析：IIS 支持以下几种 Web 身份验证方法：
匿名身份验证
IIS 创建 IUSR_计算机名称 帐户（其中 计算机名称 是正在运行 IIS 的服务器的名称），用来在匿名用户请求 Web 内容时对他们进行身份验证。此帐户授予用户本地登录权限。你可以将匿名用户访问重置为使用任何有效的 Windows 帐户。
基本身份验证
使用基本身份验证可限制对 NTFS 格式 Web 服务器上的文件的访问。使用基本身份验证，用户必须输入凭据，而且访问是基于用户 ID 的。用户 ID 和密码都以明文形式在网络间进行发送。
Windows 集成身份验证
Windows 集成身份验证比基本身份验证安全，而且在用户具有 Windows 域帐户的内部网环境中能很好地发挥作用。在集成的 Windows 身份验证中，浏览器尝试使用当前用户在域登录过程中使用的凭据，如果尝试失败，就会提示该用户输入用户名和密码。如果你使用集成的 Windows 身份验证，则用户的密码将不传送到服务器。如果该用户作为域用户登录到本地计算机，则他在访问此域中的网络计算机时不必再次进行身份验证。
摘要身份验证
摘要身份验证克服了基本身份验证的许多缺点。在使用摘要身份验证时，密码不是以明文形式发送的。另外，你可以通过代理服务器使用摘要身份验证。摘要身份验证使用一种挑战/响应机制（集成 Windows 身份验证使用的机制），其中的密码是以加密形式发送的。
.NET Passport 身份验证
Microsoft .NET Passport 是一项用户身份验证服务，它允许单一签入安全性，可使用户在访问启用了 .NET Passport 的 Web 站点和服务时更加安全。启用了 .NET Passport 的站点会依* .NET Passport 中央服务器来对用户进行身份验证。但是，该中心服务器不会授权或拒绝特定用户访问各个启用了 .NET Passport 的站点。
解决方法：
根据需要配置不同的身份认证（一般为匿名身份认证，这是大多数站点使用的认证方法）。认证选项在IIS的属性->安全性->身份验证和访问控制下配置。

问题4：IP限制配置不当
症状举例：
HTTP 错误 403.6 - 禁止访问：客户端的 IP 地址被拒绝。
原因分析：
IIS提供了IP限制的机制，你可以通过配置来限制某㊣P不能访问站点，或者限制仅仅只有某些IP可以访问站点，而如果客户端在被你阻止的IP范围内，或者不在你允许的范围内，则会出现错误提示。
解决方法：
进入IIS的属性->安全性->IP地址和域名限制。如果要限制某些IP地址的访问，需要选择授权访问，点添加选择不允许的IP地址。反之则可以只允许某些IP地址的访问。

问题5：IUSR账号被禁用
症状举例：
HTTP 错误 401.1 - 未经授权：访问由于凭据无效被拒绝。
原因分析：
由于用户匿名访问使用的账号是IUSR_机器名，因此如果此账号被禁用，将造成用户无法访问。
解决办法：
控制面板->管理工具->计算机管理->本地用户和组，将IUSR_机器名账号启用。

问题6：NTFS权限设置不当
症状举例：
HTTP 错误 401.3 - 未经授权：访问由于 ACL 对所请求资源的设置被拒绝。
原因分析：
Web客户端的用户隶属于user组，因此，如果该文件的NTFS权限不足（例如没有读权限），则会导致页面无法访问。
解决办法：
进入该文件夹的安全选项卡，配置user的权限，至少要给读权限。关于NTFS权限设置这里不再馈述。

问题7：IWAM账号不同步
症状举例：
HTTP 500 - 内部服务器错误
原因分析：
IWAM账号是安装IIS时系统自动建立的一个内置账号。IWAM账号建立后被Active Directory、IIS metabase数据库和COM+应用程序三方共同使用，账号密码被三方分别保存，并由操作系统负责这三方保存的IWAM密码的同步工作。系统对IWAM账号的密码同步工作有时会失效，导致IWAM账号所用密码不统一。
解决办法：
如果存在AD，选择开始->程序->管理工具->Active Directory用户和计算机。为IWAM账号设置密码。
运行c:\\Inetpub\\AdminScripts>adsutil SET w3svc/WAMUserPass +密码 同步IIS metabase数据库密码
运行cscript c:\\inetpub\\adminscripts\\synciwam.vbs -v 同步IWAM账号在COM+应用程序中的密码

问题8：MIME设置问题导致某些类型文件无法下载（以ISO为例）
症状举例：
HTTP 错误 404 - 文件或目录未找到。
原因分析：
IIS6.0取消了对某些MIME类型的支持，例如ISO，致使客户端下载出错。
解决方法：
在IIS中属性->HTTP头->MIME类型->新建。在随后的对话框中，扩展名填入.ISO，MIME类型是application。

另外，防火墙阻止，ODBC配置错误，Web服务器性能限制，线程限制等因素也是造成IIS服务器无法访问的可能原因，这里就不再一一馈述了

Ⅲ 如何 iis 下 文件 用户 验证 访问

身份验证和模拟类型
当 IIS 为 HTTP 请求提供服务时，IIS 将执行模拟，以便对处理请求的资源访问权限进行适当的限制。模拟的安全上下文基于为请求执行的身份验证类型。IIS 4.0 提供五种不同的身份验证类型：

身份验证类型 模拟类型

匿名访问（无身份验证） 网络
自动密码同步为
ON（ON 为默认值）

匿名访问（无身份验证） IIS 明文
自动密码同步为 OFF

基本身份验证 IIS 明文

NT 质询/响应身份验证 网络

客户端 SSL 证书映射 交互式

令牌类型
是否允许访问网络资源取决于在什么类型的模拟令牌下处理请求。

“不”允许网络令牌访问网络资源。（之所以将它命名为网络令牌，原因是此类令牌过去通常是当用户在整个网络中经过身份验证时由服务器创建的。允许服务器使用网络令牌充当网络客户端并访问其他服务器，这种做法称为“委派”且被视为潜在的安全漏洞。）

过去，当在计算机上对本地用户进行身份验证时会使用交互式令牌。允许交互式令牌访问整个网络的资源。

批处理令牌旨在为批处理作业的运行提供安全上下文。批处理令牌具有网络访问权限。
IIS 有一个明文登录的概念。之所以称其为明文登录，原因是 IIS 具有以明文方式访问用户名和密码的权限。通过置配置元数据库中的 LogonMethod 属性，您可以控制明文登录创建的令牌类型：“网络”令牌、“交互式”令牌或“批处理”令牌。默认情况下，明文登录收到“交互式”令牌，可以访问网络资源。您可以在服务器、站点、虚拟目录、目录或文件级别配置 LogonMethod。

匿名访问模拟配置为请求的匿名用户的帐户。默认情况下，IIS 有一个称为 IUSR_<machinename> 的匿名用户帐户，在处理不需要身份验证的请求时模拟该帐户。默认情况下，IIS 4.0 具有一项称为“启用自动密码同步”的可配置功能，它使用安全次权限创建令牌。通过这种方式创建的令牌是网络令牌，它们“不能”访问网络中的其他计算机。如果禁用“自动密码同步”，IIS 以与前面所述的明文登录相同的方式创建令牌。“自动密码同步”只用于 IIS 所在计算机上的帐户。因此，如果将匿名帐户更改为域帐户，则无法使用“自动密码同步”，而会收到明文登录。但这种情况有一个例外，那就是在“主域控制器”上安装 IIS 时。在此情况下，域帐户位于本地计算机上。您可以在服务器、站点、虚拟目录、目录或文件级别配置匿名帐户和“自动密码同步”选项。

访问网络资源的第一步是必须具有正确的令牌类型。您还必须模拟对整个网络的资源有访问权限的帐户。默认情况下，IIS 为匿名请求创建的 IUSR_<machinename> 帐户只在本地计算机上存在。即使通过禁用“自动密码同步”获得了可以访问网络资源的“交互式”令牌，IUSR_<machinename> 帐户通常也不能访问大多数网络资源，因为其他计算机不识别该帐户。如果要用匿名请求访问网络资源，则必须将默认帐户替换为可由网络中的所有计算机识别的域帐户。如果在“域控制器”上安装 IIS，IUSR_<machinename> 帐户就是域帐户，您不需要执行额外操作，网络中的其他计算机一定识别该帐户。

避免问题
从 IIS 应用程序访问网络资源时若要避免发生问题，请尝试以下方法：

将文件保留在本地计算机上。

某些网络通信方法不要求安全检查。使用 Windows 套接字就是一个示例。

您可以提供对计算机网络资源的直接访问，方法是将虚拟目录配置为：
“另一计算机上的共享位置”。
对共享网络资源的计算机的所有访问都在连接为.. 对话框下所指定用户的上下文中执行。不论为虚拟目录配置什么类型的身份验证，都会发生同样的情况。通过使用此选项，用户可以从访问 IIS 计算机的浏览器访问网络共享位置的所有文件。

使用基本身份验证或匿名身份验证的同时禁用“自动密码同步”。

默认情况下，Internet Information Server 为基本身份验证所做的模拟提供可以访问网络资源的令牌（这一点与“Windows NT 质询/响应”不同，它提供不能访问网络资源的令牌）。对于匿名身份验证，该令牌只有在禁用“自动密码同步”的情况下才能访问网络资源。第一次安装 Internet Information Server 时默认启用“自动密码同步”。在此默认配置下，匿名用户令牌不能访问网络资源。 有关 IIS 中“自动密码同步”的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：
190005
(http://support.microsoft.com/kb/190005/ )
用于在匿名访问时提示用户输入密码的站点设置

259353
(http://support.microsoft.com/kb/259353/ )
设置密码同步后必须手动输入密码

将匿名帐户配置为域帐户。

这样可以防止匿名请求对网络资源进行潜在访问。要防止所有匿名请求访问网络资源，您只能让匿名帐户成为专门需要访问的虚拟目录上的域帐户。

将匿名帐户的用户名和密码配置为与共享网络资源的计算机上所用的用户名和密码相同，并禁用“自动密码同步”。

如果这样做，必须确保两个密码完全一致。只有在出于某些原因而无法采用前面所述的“将匿名帐户配置为域帐户”方法时，才能使用此方法。

当用网络令牌处理请求时，可使用 NullSessionShares 和 NullSessionPipes 允许对特定网络共享位置或命名管道的访问。

如果您有一个网络令牌并且尝试与网络资源建立连接，那么操作系统尝试将该连接建立为无需身份验证的连接（称为“空会话”）。您必须在共享网络资源的计算机（而非 IIS 计算机）上进行该注册表设置。如果尝试用非网络令牌访问 NullSessionShare 或 NullSessionPipe，则会使用典型的 Microsoft Windows 身份验证，对资源的访问将基于模拟用户的帐户所具备的用户权限。

您可以通过执行自己的模拟来创建具有网络访问权限的“线程”令牌。

LogonUser 函数和 ImpersonateLoggedOnUser 函数可以用来模拟另一不同的帐户。该方法要求您为代码提供另一帐户的“明文”用户名和密码。LogonUser 还要求调用 LogonUser 的帐户在“用户管理器”中具有“作为操作系统的一部分”的特权。默认情况下，IIS 在处理 HTTP 请求时模拟的大多数用户都没有此用户权限。不过，对于“进程内应用程序”，您可以通过多种方式来使当前的安全上下文更改为 LocalSystem 帐户，该帐户具有“作为操作系统的一部分”管理凭据。对于在进程内运行的 ISAPI DLL，将 IIS 创建的安全上下文更改为 LocalSystem 帐户的最佳方式是调用 RevertToSelf 函数。如果在“进程外”运行 IIS 应用程序，该机制默认不起作用，因为进程在 IWAM_<machinename> 帐户下运行，而不在本地系统帐户下运行。默认情况下，IWAM_<machinename>“没有”“作为操作系统的一部分”管理凭据。

在 Microsoft Transaction Server (MTS) 服务器包或 COM+ Server 应用程序中添加从 ASP 页调用的组件，然后指定某个用户作为包的标识。

注意：该组件在 IIS 外部单独的 .exe 文件中运行。

使用基本/明文身份验证时，建议使用 SSL 加密数据，因为该身份验证方式极易通过网络跟踪获得凭据。 有关如何安装 SSL 的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：
228991
(http://support.microsoft.com/kb/228991/ )
如何在 Internet Information Server 4.0 中创建和安装 SSL 证书
注意：切记，如果将 LogonMethod 元数据库属性设置为“2”（表示使用网络登录创建模拟令牌），则在禁用密码同步且使用基本身份验证（明文登录）对请求进行身份验证的情况下，可以防止匿名请求进行网络访问。有了此设置，请求避免网络令牌限制的唯一方式就是连接到 NullSessionShares 或 NullSessionPipes。

不要使用已映射到网络共享位置的驱动器号。不仅只能从 26 个驱动器号中进行选择，而且如果尝试使用在另一不同的安全上下文中映射的驱动器号，也会发生问题。您必须始终使用“通用命名约定”(UNC) 名称访问资源。格式必须类似如下所示：
\\MyServer\filesharename\directoryname\filename
有关使用 UNC 的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：
280383
(http://support.microsoft.com/kb/280383/ )
在您使用 UNC 共享、用户名和密码凭据时的 IIS 安全建议
本文中的信息只适用于 Internet Information Server 4.0。在 Internet Information Server 5.0（随 Windows 2000 提供）中，一些新的身份验证类型和功能有了很大的更改。虽然本文中的大多数概念仍然适用于 IIS 5.0，但本文中的某些身份验证方案生成的模拟令牌类型的相关详细信息只适用于 IIS 4.0。

319067
(http://support.microsoft.com/kb/319067/ )
如何在 IIS 中运行不在系统帐户上下文中的应用程序
如果无法确定您的 IIS 服务器上目前由何种类型的登录来处理请求，则可打开“登录”和“注销”的审核。执行下列步骤：

依次单击开始、设置、控制面板、管理工具、本地安全策略。

打开“本地安全策略”后，在左侧的“树视图”窗格中依次单击安全设置、本地策略、审核策略。

双击审核登录事件，然后单击成功和失败。“事件日志”条目将添加到“安全”日志下。查看“登录类型”下的事件详细信息即可确定登录类型：
2=交互式
3=网络
4=批处理
5=服务

Ⅳ iis7.0 ,无法验证路径。不要让我选择“特定用户”这个解决方法

d"->输入"dir"查看目录。
输入"admire config"进入管理程序，按照指示选择设置更变。
再退出dos视窗即可以特定用户运行某个程序。